1. 常用的pushad popad
2. 有call的話,注意跳call
脫殼成功的標志就是出現 55 push ebp
od要帶有插件,olldump
1. 脫殼是在55
2. 如何脫殼,讓程序一直走,一直想前,不要后退
3. 然后使用插件保存olldump
4. 脫殼后保存的文件,看看可以修復不,如果可以修復,脫殼到此完畢。
如果不可以,按照如下步驟
5. 記錄下od脫殼保存時候的oep
6. 先運行加殼的程序,然后運行lordpe,利用工具脫殼。
7. 這個時候自動脫殼的文件還是不可以運行,先運行加殼文件,在運行importrec,填入oep
8. 選擇IAT自動搜索,選擇“獲得輸入信息”,修理抓取文件。這個時候選,自動脫殼機保存的那個文件。
至此脫殼完畢。
詳細內容看視頻...